技术要求-安全审计.doc-上海市材料工程学校.docVIP

上海市材料工程学校网络应用能力提升项目 ---安全审计部分项目技术要求 一、项目需求 项目完成时间 : 合同签订后 20 个工作日内验收合格并交付使用 。 交付状态 :系统完成，投入使用。 二、技术要求 1、性能及配置要求 项目 技术要求 吞吐量 ≥1.5Gb 并发会话数 ≥1,200,000 用户规模 ≥6000人 设备接口 6个千兆电口， 硬盘 ≥500GB BYPASS 支持 电源 单电源 尺寸 标准1U架构 2、功能要求 项目 指标 具体功能要求 部署模式WEB认证，静态用户名密码认证等； 第三方认证 支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证； IP、MAC认证 支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证； ★短信认证 支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码； 短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放（提供界面证明） 公用账户 支持多人使用同一帐号登录，且支持重复登陆检测机制； 支持限制公共账号的使用人数；（提供产品界面截图） 账户有效期 指定账户支持有效期限制，并支持自动过期； 单点登录 支持radius、AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定IP段的用户必须使用单点登录； 强制AD认证 指定用户必须用AD域账户登录操作系统，否则禁止上网； ★LDAP服务器的域对象的策略管理与同步 主要目的是对已有的AC与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能 认证失败 支持为认证失败用户提供DNS等基本网络访问权限机制； 认证后页面跳转 认证成功的用户支持页面跳转： 跳转到用户原本输入的URL地址； 跳转到管理员指定的URL地址； 跳转到注销页面; 帐户导入 支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息； 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等； 用户状态查询 支持用户登录时间、注销时间、在线时长的查询； 自动注销 支持自动注销指定时间内无流量的已认证用户； 冻结用户 支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录； 应用管理 ★应用识别规则库 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类； 支持给每个应用自定义标签； 支持根据标签选择一类应用做控制； 支持对每一种应用的定义和解释，帮助客户快速定位应用的分类； 支持给每一种应用列上图标，易于客户了解应用的特征。 （提供产品界面截图） ★应用控制 设备内置应用识别规则库，支持超过4700条应用规则数，支持超过2100种以上的应用，660种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；（提供产品界面截图） 支持根据IP、端口、协议等自定义应用规则； 支持根据不同的应用类型或具体的某种应用设置允许或拒绝； ★应用细分控制 1.能够对新浪微博、腾讯微博、网易微博等进行细分控制，如：登录、浏览、发微博、上传附件等。 2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制，如：登录、浏览、发帖回帖、上传附件等。 3.能够对天涯论坛、猫扑社区、百度贴吧等论坛类应用做细分控制，如：登录、浏览、发帖回帖、上传附件等。 4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制，如：登录、上传、下载等。 （提供产品界面截图） 端口控制 支持根据端口设定用户不允许访问的目标IP组提供的服务； 代理控制 不允许使用外部HTTP代理； 不允许使用外部Sock4/5代理； 不允许在HTTP,SSL一些的标准端口上使用其他协议；（比如在80端口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等） 网页管理 静态URL库 设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤； ★SSL加密网页 识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（必须提供自主知识产权证明，加盖厂商公章）； 自定义URL 设备支